Отправка информации о кредитной карте на узел
Так что я думаю об использовании dibs payment
Итак, я нашел эту обертку для узла: DIBS API обертка для Node.js
Однако это потребует от меня отправки информации о кредитной карте через почтовый запрос на мой сервер узлов.
Мой вопрос: это безопасно? А если нет, то как мне убедиться, что это безопасно? Так что запрос не может быть взломан нежелательными сторонами
3 ответа
Они предоставляют так называемое "окно размещенного платежа" ( http://tech.dibspayment.com/D2/Hosted). В этом случае все данные будут отправлены непосредственно в DIBS, не заходя на ваш сервер. Это предпочтительное решение для большинства приложений.
В случае, если вы хотите отправить данные кредитной карты на ваш сервер, вам необходимо убедиться, что она не может быть утечка (см. https://www.pcisecuritystandards.org/). Это большая тема (в основном это касается вашего сервера и сетевой инфраструктуры).
Стандартной практикой для продавцов, обрабатывающих информацию CC, если они вообще это делают, является (а) шифрование при передаче (поэтому незашифрованные соединения или откат к незащищенным протоколам, например, SSL3 должен быть отключен) и (б) вообще нигде не хранится - не в ваша база данных, ни в каких журналах; совершите транзакцию и убедитесь, что полная информация CC уничтожена или анонимизирована, например, замена средней шестизначной цифры звездочками, которые вы часто видели.
Еще более распространенной практикой является обеспечение того, чтобы вы и ваши системы никогда не видели полных данных о держателях карт, а вы поручаете кому-то другому управлять безопасной обработкой.
Я не использовал Dibs, но я использовал Stripe..
Я предполагаю, что Дибс будет делать то же самое. Это потому, что вы не можете принять данные кредитной карты через Интернет, если ваша компания не аккредитована, и из того, что я могу собрать, это может стоить тысячи.
В основном информация о кредитной карте НЕ отправляется на ваш сервер, но библиотека Javascript, которая входит в комплект поставки, говорит, что Stripe отправляет данные непосредственно в Stripe (IOW: в обход вашего сервера), затем stripe возвращает токен, этот токен затем отправляется на ваш сервер, и именно этот токен вы затем используете для дебетования денег и т. д.
Это означает, что между вами и вашими браузерами никогда не передается информация о кредитной карте. Это важное различие, потому что, если вы не аккредитованы, незаконно хранить любую информацию о кредитной карте на вашем сервере, и это включает в себя хранение в памяти.
Беглый взгляд на DIB, и кажется, что он так не делает. Итак, предупреждаю: если вы будете обрабатывать детали CC, вам лучше ознакомиться с местными законами об этом, даже на сайте DIB говорится, что это так.
Интернет-магазин несет ответственность за соблюдение действующего законодательства. Если вы не уверены, содержит ли ваш интернет-магазин требуемую информацию, обратитесь к вашему покупателю.
Неправильно поймите вышеизложенное, и в зависимости от того, из какой страны вы находитесь, вы можете получить тяжелый штраф или даже хуже.:)
Обновление: как упомянул @Peteris, DIB делает вариант размещения, затем он работает аналогично Stripe, и данные карты отправляются в DIB, а затем сервер DIB связывается с вашим сайтом.